SBOM - Software Bill Of Materials

Aber was ist das eigentlich? Die Software Bill of Materials (SBOM) ist eine detaillierte Liste aller Komponenten, Bibliotheken und anderer Abhängigkeiten, aus denen eine Software besteht. Sie bietet einen klaren und umfassenden Überblick über alle Komponenten, aus denen sich diese zusammensetzt, und ermöglicht es dadurch Nutzern wie Unternehmen, die mit ihrer Verwendung verbundenen Risiken besser zu verstehen und zu adressieren.

In den vergangenen Jahren ist SBOM zu einem immer wichtigeren Werkzeug für IT-Sicherheitsexperten geworden. Mit der zunehmenden Verwendung von Open-Source-Komponenten und Bibliotheken von Drittanbietern in der Softwareentwicklung wird es stetig schwieriger, die mit diesem Ansatz verbundenen Sicherheitsrisiken zu verfolgen. SBOM bietet eine konkrete Möglichkeit, ebendiese Risiken zu verfolgen und ermöglicht es Unternehmen, potenzielle Schwachstellen proaktiv zu entschärfen. Dies kann dazu beitragen, größere Sicherheitsverletzungen zu verhindern und sensible Daten vor unberechtigtem Zugriff zu schützen.

Das Thema SBOM wurde und wird federführend von den US-Institutionen National Telecommunications and Information Administration (NTIA) und der Cybersecurity & Infrastructure Security Agency (CISA) vorangetrieben – es handelt sich dabei also ganz klar nicht um ein Hobbyprojekt von selbst ernannten Sicherheitsexperten und auch nicht um ein FUD-Lauffeuer, das gerade wieder durchs virtuelle Dorf zieht.

Das ist das Schöne an SBOM: Gerade weil es kein umfassendes Sicherheitskonzept ist, das alles erschlagen will, sondern sich auf ein bestimmtes Kernthema fokussiert, ist der Sicherheitsnutzen einer Software Bill Of Materials schnell implementierbar:

• Konkret arbeiten die meisten Unternehmen inzwischen mit containerisierten Workloads und können so präzise definieren, in welcher Cloud oder in welchem Rechenzentrum welche Container im Betrieb sind.

• Container wiederum kann man einem SBOM-Scan unterziehen, bei dem eine komplette Liste aller in ihnen verwendeten BIbliotheken und Softwarekomponenten erstellt wird.

• Die so erstellte “digitale Zutatenliste” kann man nun automatisiert gegen Verzeichnisse bekannter Sicherheitslücken prüfen lassen.

• Sind Softwarekomponenten in den so überprüften Containern von bekannten Sicherheitslücken betroffen, erhält man daraufhin eine Liste derselben und kann diese abarbeiten: Entweder, indem man die betroffenen Softwarepakete auf Versionen ohne bekannte Sicherheitslücken updated, entfernt, oder anderweitig ausschließen kann, dass die bekannten Sicherheitslücken ausgenutzt werden können.

Wir können das für Sie tun - und zwar in verschiedenen Ausbaustufen:

Zum einen bieten wir Ihnen an, als individuelles Projekt automatische SBOM-Scans und Security-Lookups an ihre bestehende CI/CD-Pipeline bzw. Container-Registry anzubinden. Bei diesem Ansatz verbleibt die Adressierung der ggf. erkannten Sicherheitslücken bei Ihnen.

Zum anderen bieten wir an, auch diesen Teil für Sie zu übernehmen: Wir untersuchen Ihre Workloads mit der genannten Methodik auf Sicherheitslücken und adressieren sie in Zusammenarbeit mit Ihrer IT-Abteilung.

Klicken Sie unten auf “Beratung vereinbaren”, um ein unverbindliches Gespräch mit einem unserer Experten zu terminieren und einen konkreten Schritt in Richtung mehr IT-Sicherheit zu gehen.